- 博客(179)
- 收藏
- 关注
RSS订阅
原创 Ubuntu恶意文件分析环境搭建--安装Cuckoo Sandbox记录
目录0x01 基础信息0x02 主机host操作1.需要安装的依赖:2.安装tcpdump并确认安装无误:3.安装pydeep:4.安装mongodb:5.安装Volatility:6.安装M2Crypto:7.Host Os创建user8.主机上安装cuckoo sandbox9.Cuckoo文件配置阶段10.安装虚拟机0x03 客户机安装和配...
2019-08-05 23:44:17
2296
转载 胡钦太:“十四五”如何建设高校信息化队伍?
01高教信息化是"探路者"和"排头兵"《中国教育网络》:站在2020年这个历史关口,您对中国的教育信息化尤其是高教信息化截至目前的发展有一个什么样的评价?胡钦太:我国教育信息化经过几十年的风雨历程,取得举世瞩目的成绩,探索出一条具有中国特色的教育信息化发展路径。党的十八大以来,我国教育信息化事业更是前所未有的快速发展,取得了全方位、历史性成就:“三通两平台"建设与应用快速推进、信息技术对教育教学改革的推动作用大幅提升、教师信息技术应用能力明显提升、信息技术应用水平显著提高、国际影响力显著增强等"五大进展
2021-09-18 16:33:07
634
转载 于俊清:高校信息化工作“三分技术七分管理”
原创 CERNET 中国教育网络 2020-09-09于俊清 - 中国教育和科研计算机网CERNET华中地区网络中心主任,华中科技大学网络与信息化办公室主任、网络与计算中心主任、网络与计算中心党总支书记文 | 王世新“队伍建设对高校信息化部门来说非常重要,有了好的队伍,事半功倍,否则即使有再好的想法、再多的经费,没有人去落实,也终将是虚空。因此,高校信息化部门必须将队伍建设作为重中之重。”接受本刊采访时,华中科技大学网络与信息化办公室主任于俊清表示。信息中心主任应纲举目张《中国教育网络》:我们经
2021-09-18 16:07:43
669
转载 如何建设教育信息化评价指标体系?
原创 CERNET 中国教育网络 2020-09-16在教育信息化生态系统中,有三大推动力量:教育信息化评价指标体系制定、评估工作开展和评估建模分析,这三者相互依赖、相互影响。01高校信息化建设的现状与问题自从教育部发布《教育信息化2.0行动计划》以来,安徽省高校积极展开面向教育信息化2.0的信息化改革。目前,安徽高校教育信息化建设在基础设施、业务支撑、业务应用和保障体系方面发展相对较好,但是重复建设和无效建设问题仍很难避免;在数据与资源建设方面发展较弱且不均衡,数据孤岛问题尚未完全解决;智慧校园建设
2021-09-18 15:39:01
561
转载 网络基础——100道面试题,你能答对多少?
文章目录1、网站登陆缓慢是什么原因?2、a与b服务器不在同一网段怎么设置?设置完还ping不通怎么排查?3、在AB两台服务器之间通过一个服务器c做软路由使用给路由器c配置两块网卡并开启自身的路由功能4、如果PING不通怎么排查5、ping自己网站ping不通,如何排查?6、docker常用命令,原理,桥接模式原理?7、docker容器ping不通是什么原因?8、查看防火墙状态?9、$符号?10、如果一台办公室内主机无法上网(打不开网站),请给出你的排查步骤?11、如果我们的网站打开速度慢请说下您的排查思路?
2021-05-13 19:33:24
4322
原创 恶意代码分析实战实验Lab 7-3
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考静态分析strings + IDA pro查看字符串exekerne`132`.dllkernel32.dllC:\windows\system32\kerne`132`.dllC:\Windows\System32\Kerne
2021-05-06 17:40:13
625
原创 恶意代码分析实战实验Lab 7-2 +
Lab 7-2静态分析 IDA PRO动态分析1.这个程序如何完成持久化驻留?2.这个程序的目的是什么?3.这个程序什么时候完成执行?参考静态分析 IDA PRO字符串信息很少,但是没有加壳。使用strings工具书上说这个是Unicode字符。导入函数和COM对象有关。CoCreateInstance和OleInitialize函数使用COM功能。主函数该恶意代码第一件事初始化COM,调用OleInitialize函数和CoCreateInstance获得一个COM对象。返回的CO
2021-05-06 16:05:14
417
原创 恶意代码分析实战实验Lab 7-1
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考静态分析IDA Pro字符串:可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
2021-05-06 15:34:51
558
原创 恶意代码分析实战实验Lab 6-4
Lab 6-4静态分析1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?2.什么新的代码结构已经被添加到main中?3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?4.这个程序会运行多久?(假设它已经连接到互联网。)5.在这个恶意代码中有什么新的基于网络的迹象吗?6.这个恶意代码的目的是什么?参考静态分析会动态生成Internet Explorer 7.50/pma%d。导入表和Lab 06-03.exe中相同1.在实验6-3和6-4的main函数中的调用之间的
2021-05-06 14:46:20
567
原创 恶意代码分析实战实验Lab 6-3
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考静态分析IDA pro查看字符串除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
2021-05-06 11:04:23
366
原创 恶意代码分析实战实验Lab 6-2
Lab 6-2静态分析动态分析1.由main函数调用的第一个子过程执行了什么操作?2.位于`0x40117F`的子过程是什么?3.被mian函数调用的第二个子过程做了什么?4.在这个子过程中使用了什么类型的代码结构?5.在这个程序中有任何基于网络的特征的指示吗?6.这个恶意代码的目的是什么?参考静态分析使用IDA pro查看字符串有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm可以用于
2021-05-06 09:53:42
296
原创 恶意代码分析实战实验Lab 6-1
Lab 6-11.由main函数调用的唯一子过程中发现的主要代码结构是什么?2.位于`0x40105F`的子过程是什么?3.这个程序的目的是什么?参考1.由main函数调用的唯一子过程中发现的主要代码结构是什么?先进行基础的静态分析InternetGetConnectState函数用于检查本地系统的网络连接状态。GetACP获取当前系统的代码页编码,如简体中文是 936。GetCPinfo取得与指定代码页有关的信息。使用stringsGetCommandLineA获取命令行输入参数E
2021-05-06 08:46:38
387
1
原创 恶意代码分析实战Lab 5-1
1.DllMain的地址是什么?使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了).text:1000D02E2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址?.idata:100163CC3.有多少函数调用了gethostbyname?Jump to xref operand函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。4.将精力集中在位于0x10001757处的对gethostbyname的
2021-05-05 18:38:01
751
1
原创 恶意代码分析实战实验Lab 3-3+Lab 3-4
Lab 3-31.当你使用Process explorer工具进行监视时,你注意到了什么?每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe2.你可以找出任何的内存修改行为吗?工具:process monitor单击然后选择image和memorypracticalmalwareanalysis.log[SHIFT][ENTER][BACKSPACE]BACKSPACE[TAB][CTRL][DEL][CAPS
2021-05-05 11:13:40
327
原创 恶意代码分析实战实验Lab 3-1 + Lab 3-2
Lab 3-1使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。问题1.找出这个恶意代码的导入函数与字符串列表?使用PEID和strings发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。所以说题目中说使用动态分析嘛使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。使用strings查看字符串比较可疑的字符串CONNECT %s:%i HTTP/1.0 联网admin 管理员vmx32to64.exe 检测虚拟机
2021-05-05 10:41:36
898
原创 恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。PEID通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。对于脱壳后的exe文
2021-05-04 21:19:23
1154
原创 恶意代码分析实战实验Lab 1-1
Lab 1-1对Lab01-01.exe和Lab01-01.dll进行分析问题1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?Lab01-01.exe:在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等)在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。Lab01-01.dll:同理上传即可2.这些文件是什么时候编译的?使用PEView,这里应该有一个Time
2021-05-04 20:59:42
986
原创 CTF流量分析题
1.flag被盗了,pcap(gnnl)尝试http过滤,get或者post追踪tcp流即可,这里是post,flag{This_is_a_f10g}2.这么多数据包找找吧,先找到getshell的流pcap(vn78)过滤tcpTCP流通常是命令行操作Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ==解码:CCTF{do_you_like_sniffer}3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
2021-05-03 21:47:57
3610
原创 2021-05-03Wireshark流量包分析
目录WEB扫描分析后台目录爆破分析后台账号爆破WEBSHELL上传其他题目 参考链接WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。WEB扫描分析题型:通过给出的流量包获取攻击者使用的WEB扫描工具。解题思路:常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,We...
2021-05-03 11:49:44
2808
3
翻译 Wireshark教程:设置过滤
本教程使用Windows感染流量示例,这些流量来自通过大规模分发方法(如恶意垃圾邮件(malspam))或Web流量分发的商品恶意软件。 在恶意软件(通常是Windows可执行文件)感染Windows主机之前,这些感染可以遵循许多不同的路径。指标包括从网络流量中获取的与感染相关的信息。 这些指标通常称为危害指标(IOC)。 安全专业人员经常记录与Windows感染流量相关的指示器,例如URL,域名,IP地址,协议和端口。 正确使用Wireshark显示过滤器可
2021-04-30 07:18:09
3319
翻译 Wireshark教程:使用Wireshark寻找主机信息
使用Wireshark寻找主机信息网络中产生流量的任何主机都应具有三个标识符:MAC地址,IP地址和主机名。我们如何使用Wireshark查找此类主机信息?我们对两种活动进行过滤:DHCP或NBNS。 DHCP流量可以帮助识别连接到网络的几乎所有类型的计算机的主机。 NBNS流量主要由运行Microsoft Windows的计算机或运行MacOS的Apple主机生成。实验一 来自DHCP流量的主机信息DHCP 流量对于大多数类型的网络连接可以帮助识别主机DHCP Request >Boot
2021-04-29 21:15:55
9121
1
转载 无文件恶意软件感染完整指南
目录什么是无文件感染 ?为什么网络罪犯使用无文件恶意软件无文件感染的工作机制EXPLOIT KITS ——无文件感染的必要工具如何保护您的计算机免受无文件感染Level 1:保持应用程序和操作系统应用安全更新Level 2:阻止携带 Exploit kits 的页面Level 3:阻止 payload 传递Level 4:阻止你的电脑和攻击者的服务器之间的通信结论什么是无文件感染 ?正如其名,恶意软件或病毒在感染的过程中不使用任何文件。要了解它的含义...
2021-04-26 16:35:49
566
转载 10张图-深入理解Docker容器和镜像
本文用图文并茂的方式介绍了容器、镜像的区别和Docker每个命令后面的技术细节,能够很好的帮助读者深入理解Docker。这篇文章希望能够帮助读者深入理解Docker的命令,还有容器(container)和镜像(image)之间的区别,并深入探讨容器和运行中的容器之间的区别。0x01 镜像定义镜像(Image)就是一堆只读层(read-only layer)的统一视角,也许这个定义有些难以理解,下面的这张图能够帮助读者理解镜像的定义。从左边我们看到了多个只读层,它们重叠在一起。除了最
2021-04-25 16:29:59
431
转载 再探勒索病毒之删除卷影副本的方法
影响平台:Windows侵害的用户:任何组织威胁程度:高为了令勒索攻击实施有效,勒索软件进行的一个常见行动是卷影备份(即影子副本),从而使受害者无法恢复任何已加密的文件。在这篇文章中,我们回顾了勒索软件已删除影子副本的现有方法,重新总结防御者保护自己和数据资源可以使用的技术。如此,我们还揭露了勒索软件可能使用的新方法。分享这些方法将使防御者能够针对这些潜在的未来技术部署适当的检测,因为我们以后遇到它们只是时间问题,这也将给现有的防护报警系统带来新的冲击。**VSS架构**在我们开始之前,.
2021-03-28 21:29:15
1433
转载 mac 安装brew
老是连接失败放一个可以的/bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)"mac安装brew(亲测)_猿上生活-CSDN博客_mac 安装brew
2020-07-28 16:12:11
1441
转载 Mounty(卷“xxx”不可重新挂载)挂载失败解决方法
解决办法到 win 下 对不可挂载的NTFS磁盘,进行chkdsk /f操作 ,并在结束后安全移除磁盘具体步骤打开cmd,输入命令chkdsk i: /f(i是盘符)
2020-07-14 15:23:46
13479
转载 关于新冠肺炎的一切
目录Part 1 感染Part 2 传播Part 3 口罩Part 4 勇气和你一样,我们也一直着关注这场突然爆发的新型冠状病毒肺炎。在下面的文章中,我们会解释这一切是如何发生、传播和感染的。来吧。Part 1 感染首先我们要知道,病毒是如何感染患者的。病毒要进入细胞,细胞上就必须要有它对应的受体(Receptor)。比如艾滋病病毒 HIV 的常见受体是 ...
2020-05-04 08:43:44
927
原创 网络攻防实验(连更)
0x01本地系统密码破解了解本地系统密码的破解、熟悉掌握暴力破解和字典破解、Saminside暴力破解工具的使用。实验环境:本地主机A(Windows XP),saminside工具。实验步骤:控制面板 管理工具 计算机管理 本地用户和组 用户 guest 设置密码(实验室为了避免破解时间过长,不要太复杂)运行Saminside,如果显示初始用户名,删除所有初始用户名。(Edit&g...
2020-04-17 09:54:47
772
转载 皮尔逊相关系数的理解
别人写个回答的水平都很高如何理解皮尔逊相关系数(Pearson Correlation Coefficient)? 皮尔逊相关系数理解有两个角度其一, 按照高中数学水平来理解, 它很简单, 可以看做将两组数据首先做Z分数处理之后, 然后两组数据的乘积和除以样本数Z分数一般代表正态分布中数据偏离中心点的距离.等于变量减掉平均数再除以标准差.(就是高考的标准分类似的处理)标准差则等...
2019-12-17 14:55:15
3251
1
转载 回文字符串算法
Python 实现各种常用算法 - 字符串 - 实验楼所谓回文字串,即正着读和倒着读结果都一样的字符串,比如:a, aba, abccba 都是回文串, ab, abb, abca 都不是回文串。暴力求解的思路:找到字符串的所有子串,遍历每一个子串以验证它们是否为回文串。一个子串由子串的起点和终点确定,因此对于一个长度为 n 的字符串,共有 n^2 个子串。这些子串的平均长度大约是 n...
2019-12-12 20:47:45
826
翻译 markovgen生成伪随机文本
Generating pseudo random text with Markov chains using Python相应的文件可以在对应的链接中找到Wolfram给出的定义markovgen算法是有一个文本将用作语料库,供我们选择下一个转换。 从文本中的两个连续单词开始。 最后两个词构成当前状态。 产生下一个单词是马尔科夫转换。 要生成下一个单词,请查看语料库,...
2019-12-12 19:50:03
196
转载 [转载]解析PE结构之-----导出表
在PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。通过我先前文章手写的Hello World程序可以看出,要使用任...
2019-12-07 22:40:44
311
原创 【学习总结】深度学习的数学
深度学习的数学https://www.ituring.com.cn/book/2593感悟:从数学角度来理解深度学习并不复杂,也可以说作者讲解得让人很容易理解,涉及到的数学知识有函数、数列、向量、矩阵、求偏导、链式法则、多变量函数的近似公式、梯度下降法、误差反向传播、卷积等概念。这里主要针对几个手工实例进行操作复习。目录深度学习的数学2-11梯度下降法3-5 NN...
2019-11-10 21:40:24
810
原创 恶意代码环境搭建之工具下载问题总结
第一个问题无法安装vmware tools,灰色消失之后(安装VMware Tools选项显示灰色的正确解决办法)安装依旧报错,图如下。需要将win7旗舰版升级为sp1,方法二微软官网下载win7 sp1补丁升级(步骤很详细)在Download Windows 7 和 Windows Server 2008 R2 Service Pack 1 (KB976932) from Of...
2019-11-05 20:03:55
158
转载 【转】恶意代码分析-工具收集
如有侵权,请联系删除。 目录 恶意代码分析-工具收集 恶意代码分析实战 恶意软件自动化分析工具套件 文档分析工具 JavaScript分析工具 系统&文件监视工具 shellcode分析工具 网络分析工具 URL分析工具 SWF分析工具 内存取证分析工具 调试器 反汇编工具 十六进制编辑器 查壳工具 DNS&...
2019-11-05 15:15:24
1198
原创 恶意代码分析与实战第0+1章学习-恶意代码分析入门+静态分析基础
恶意代码分析通用规则1.不要过于陷入细节。大多数恶意程序会是庞大而复杂的,你不可能了解每一个细节。你需要关注最关键的主要功能。当你遇到了一些困难和复杂的代码段后,你应该在进入到细节之前有一个概要性的了解。2.其次,请记住对于不同的工作任务,可以使用不同的工具和方法。这里没有一种通吃的方法。每一种情况是不同的,而你将要学习的各种工具和技术将有类似的,有时甚至重叠的功能。如果你在使用一个工具...
2019-11-04 17:16:45
518
原创 恶意代码分析环境搭建(恶意代码分析实战第二章学习)
Vmware Player和Vmware Workstation的区别Vmware提供了流行的桌面虚拟化系列产品,可用于在虚拟机中分析恶意代码。 Vmware Player是免费的,并且可以用来创建和运行虛拟机,但它缺少一些进行有效的恶意代码分析所必需的功能。Vmware Workstation软件的成本在200美元以下,一般是恶意代码分析师更好的选择。它包含了快照等强大的功能,允许你保存当...
2019-11-04 16:04:28
1635
翻译 【总结】学堂云慕课-如何写好科研论文
目录论文写作的基本原理、技巧和步骤如何准备学术论文以及如何寻找合适的期刊学术论文的组织结构写文章的顺序如何使用合适的科技论文写作语言同行评审(同行评议)学术出版道德署名权争议利益冲突一稿多投剽窃着手准备你的第一篇学术论文了吗?或者你已经有了一些或成功或失败的写作经验了吗?你知道该如何开始写一篇学术论文吗?它都有哪些步骤呢:如何建立你的论文的结构呢,期...
2019-11-03 22:03:48
38885
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人